在等叫号过程中挖个漏洞

因为第一次在这个城市看病,所以呢没有办卡,没法预约。

咨询台就拿着我的手机帮我关注了翼健康微信,没办法我就加个号吧,等到12点才看上,这么长时间,我只能帮你挖下漏洞了。

病人信息管理存在越权,可以查看400万
 

https://**.**.**.**/?view=member_center%2Fpatient_editor&patientId=111 https://**.**.**.**/?view=member_center%2Fpatient_editor&patientId=4081407



遍历2个id,一个大,一个小以证明id有效
 

解决方案:

权限控制,估计微信端 也是一样的,自行检查。